澳大利亚人Geoff Huston是互联网路由和扩展问题的权威之一。我们向Huston发送了一些关于美国政府对Bolster R&D的计划的问题,以确保互联网的核心路由协议,边界网关协议(BGP)。以下是哈斯顿不得不说的摘录。
澳大利亚人Geoff Huston是互联网路由和扩展问题的权威之一。我们向休斯顿提出了几个问题关于美国政府加强研发以确保互联网核心路由协议的安全的计划边境网关协议(东方)。以下是休斯顿的讲话节选:
您在美国国土安全部的资源公钥基础设施计划(RPKI)(两个由国土安全部资助的关键路由器安全计划之一,另一个是BGPSSEC)中扮演什么角色?您在这个项目上与国土安全部的合作是什么?
我是APNIC的首席科学家,APNIC是亚太地区的区域互联网注册(RIR),在这个职位上,我一直领导APNIC努力引入数字资源的数字认证。我还是互联网工程任务组(IETF)安全域间路由工作组(SIDR WG)的联合主席,该工作组被授权开发标准技术,旨在为域间路由产生安全机制。我没有得到美国国土安全部的资助,但我和他们一样关注这个领域。我和一些受美国研究基金支持的研究人员合作。
您能以简单的英语解释RPKI是否正在尝试,以及如何提高互联网路由系统的安全性?
对路由系统的攻击可能导致结果是遍历许多传统形式的安全防御,并且以极难检测的方式发生。路由攻击可以“劫持”地址,将用户的流量重定向到除了预期目的地之外,允许攻击者“欺骗”预期受害者的身份。路由攻击还可以重定向流量流,允许攻击者检查运输流量,而无需任何结束方。路由攻击可能会破坏网络,引起混沌和中断,无论是在单个受害者,还是更一般地在地址的集合或诸如DNS服务器的基础架构元件上。
所有这些攻击都依赖于BGP的一个特性:一方可以在路由中“撒谎”,谎言可以在整个网络中传播,而且不会被自动检测到。RPKI是一种机制的基本组件,它允许使用自动化流程的其他人容易地识别此类路由谎言。换句话说,RPKI不会改变域间路由的基本机制,也不会阻止恶意人士试图在域间路由环境中生成谎言。但由于路由信息是通过路由结构传递的,其他各方可以利用工具和装载到RPKI中的信息来验证路由信息的准确性和真实性,正确识别无效路由信息或谎言的实例。
RPKI工作的状态如何?
在软件方面,许多工作正在进行,以提供实现RPKI服务的工具。其中包括由APNIC编写的RPKI软件套件,这是一套由互联网软件联盟制作的工具
(ISC)支持的美国互联网号码注册,以及BBN开发的工具。
在标准活动中,我们已将许多文档提交给SIDR WG的标准化,以便在将IP地址属性添加到数字证书的早期工作时构建。
2008年底,APNIC是第一个将RPKI证书出版作为其对APNIC资源持有人的服务的一部分。APNIC管理的IP地址资源的持有者现在可以使用APNIC服务系统生成数字证书,可用于验证有关IP地址及其使用的数字签名断言。
下一步是使用这个框架的生成工具,允许互联网服务提供商和企业数字签署“当局”,与路由断言,并提供工具,允许互联网服务提供商和其他验证路由信息通过匹配这些当局签署了域间路由信息被通过路由系统。这些工具的规范是SIDR工作小组目前正在进行的一项任务。
rpki什么时候可能会部署?
RPKI的一部分,特别是APNIC管理的资源的认证,已经部署好了。北美、欧洲和中东地区也在进行类似的努力。所以,我想,我能提供的最好答案是:它正在发生。
部署RPKI时,企业网络管理人员是否需要做任何事情、升级任何东西或购买任何东西来与它兼容?
在APNIC中,我们已经努力减轻企业和ISP的负担。一些大型组织对PKI基础设施和关键管理制度进行了重大投资,并且预测他们希望将RPKI系统作为完全内部运营运作。为了协助这类用户,SIDR WG将为它们提供用于RPKI组件的标准规范,这些组件已在RPKI的多个实现中进行互操作性测试。
其他国家将寻求一种最好不涉及额外费用的方法来使用这项技术。在APNIC中,作为我们推出RPKI服务的一部分,我们已经包括了为我们的成员提供在线托管RPKI服务。APNIC成员可以使用这个在线系统生成RPKI证书、对路由授权机构和认证进行数字签名,并通过这个托管服务验证这些数字签名的对象。而企业网络管理者需要投入一些时间和精力在理解RPKI的价值,它可以用来获得路由的广告,他们不需要购买新设备,设计新的安全流程甚至升级他们的路由系统使用RPKI。我们已经努力为企业网络管理人员创建了一种选择,使其在路由基础设施中包含安全性,使之健壮、快速,且无需增加成本。
RPKI将允许企业网络管理人员创建一个数字授权,该授权清晰明确地声明:“这些是我的IP地址,这是我的自治系统号。”它还允许网络管理器公开验证:“我将向域间路由系统发布以下路由。如果你看到这些地址的任何其他形式的路由广告,它们是未经授权的,应该被丢弃。”
你能解释rpki如何与DHS计划有助于发展的BGP安全机制如何合作?
BGP是一种信息分发协议。这是一个“洪水”协议,允许一方“创建”一个独特的信息以及所有其他方面的信息“听到”信息。任何方法都必须回答的任何方法都有答案是:首先,我听到反映合法地址可达性的最新信息的准确副本的信息是什么?而且,其次,信息分发功能是正确的,使得我听到的这些信息是在转发决定达到该合法地址的情况下的最新和准确的?“
在SIDR WG中开发的方法允许地址前缀的持有者以数字签名签名与权限来发起路由广告的证明,并使用RPKI发布机制分发该权限。BGP更新的接收器可以检查在RPKI中发布的该组权限的更新中提供的信息,并根据RPKI发布的“真实”当局接受或拒绝更新。BGP本身根本不需要改变,越过通过安全路由的主要障碍之一,即需要升级带有新版本的BGP路由器。RPKI的性质使得不可能以数字方式签名未分配给签名者的地址。所以在RPKI的上下文中无法签名“被盗”的地址。
第二个问题与信息在域间路由空间中的传播有关。在探索保护BGP更新的AS路径属性中隐含的传播路径的各种替代方法方面,仍有一些积极的工作。一旦安全需求的探索性工作达到足够清晰的水平,SIDR工作组打算在这一领域开发一些方法。预计这项工作将在未来几个月开始。
您正在做什么工作与保护BGP有关?
我是多篇关于保护BGP安全的网络草稿的作者,我也写了多篇关于这个主题的论文和文章,所以这个主题绝对是我目前研究兴趣的一部分。
我一直在与Swinburne理工大学的Grenville Armitage教授一起研究BGP更新的动态行为,并研究简单的本地启发式方法可以应用于BGP更新消息的处理。希望这个研究项目的一个成果是一个处理BGP更新的框架,从而显著减少验证BGP更新安全凭证的潜在工作量。
在你看来,通过RPKI和某种BGP安全扩展来保护Internet路由协议有多重要?
路由仍然是安全方面的漏洞。2008年初,我们看到YouTube在全球范围内下线路由失误起源于巴基斯坦电信。路由中的“谎言”都很容易传播,这是当今互联网上的严重漏洞。
如果一个关于地址和路由的“谎言”是成功的,那么许多其他的攻击是可能的。通过路由劫持重新定位网站的IP地址,可以劫持受害者的网站。更隐蔽的攻击形式可能是模拟各种信任系统的根,包括DNS的根。这种形式的攻击很难检测,而且使用多层间接执行攻击的潜在能力使得追踪攻击非常具有挑战性。
此外,通过注入虚假路由信息,也有可能造成混乱和破坏,这仅仅是“黑洞”流量,阻止DNS解析,并使大量的基础设施和服务瘫痪。为大量地址注入虚假路由有可能“关闭”整个国家或地区……从而开始进入各种网络战争场景。
2007年5月对爱沙尼亚的“攻击”是一次简单的ping flood攻击。想象一下,如果这种攻击具有BGP攻击的性质,将流量重定向到爱沙尼亚网络地址,并指向一个不存在的汇聚点。其结果实际上是整个国家基础设施的中断。
美国国土安全部今年将大幅增加其在RPKI和BGP安全方面的投资,这有多大意义?
从事与安全相关的活动的部分问题是,它同时是每个人的问题,也不是任何人的问题。没有一个单独的ISP能够独立于其他所有人“解决”问题而“解决”安全的域间路由,所以工作经常被归入“太难”的范畴,没有人会发现在他们个人的兴趣范围内工作。
这就是像美国国土安全部,像APNIC, ARIN和RIPE NCC这样的人能做出改变的地方,因为我们能做的一件事就是从更大的角度来看待问题,解决每个人的问题,为每个人、用户、网络运营商、服务提供商和企业创造更好的网络环境,创造行业可采纳的解决方案。
因此,我认为国土安全部在这一领域的努力是非常积极的,我们期待着与国土安全部人员以及他们将支持作为其活动一部分的项目进行合作。显然,我们都希望在这个领域中实现一个共同的脚本和共同的主题,而国土安全部在这类合作努力中发挥了非常有益的影响。